Printable View
А я вот на нашем местном форуме сегодня модифицированный Win32/Stration.XJ выловил,один из участников жаловался на проблеммы с аськой и выложил адрес с которого ему предложили скачать файл.Я его скачал в сотовый а когда пытался перекинуть на компьютер он был тут же убит Нодом.
вот рассылочка пришла с такими вложениями
Update-KB3796-x86 (1).zip\Update-KB3796-x86.exe infected with Win32.HLLM.Limar
Update-KB4125-x86.zip\Update-KB4125-x86.exe infected with Win32.HLLM.Limar
DRWEB их опознал, только с обновой за вторник
Получил по E-mail сообщение:
[COLOR=sienna]Hi. Friend has sent you a postcard.[/COLOR]
[COLOR=sienna]See your card as often as you wish during the next 15 days.[/COLOR]
[COLOR=sienna]SEEING YOUR CARD[/COLOR]
[COLOR=sienna]If your email software creates links to Web pages, click on your [/COLOR]
[COLOR=sienna]card's direct www address below while you are connected to the Internet:[/COLOR]
[COLOR=blue]http://72.47.115.34/?911e6c36a4bc955099675c50080d0[/COLOR]
[COLOR=sienna]Or copy and paste it into your browser's "Location" box (where Internet [/COLOR]
[COLOR=sienna]addresses go).[/COLOR]
[COLOR=sienna]We hope you enjoy your awesome card.[/COLOR]
[COLOR=sienna]Wishing you the best,[/COLOR]
[COLOR=sienna]Postmaster,[/COLOR]
[COLOR=sienna]2000greetings.com[/COLOR]
Прошел по ссылке ... и поймал в конце концов вирус W32/Nurech.AN.worm, причем Panda Titanium уго сразу не опознал. (Послал подозрительный файл в Panda SOS, через день получил ответ:
The file C:\Downloads\I?ia?aiiu\ecard.exe belongs to the worm W32/Nurech.AN.worm, due to the nature of the file, it can
only be deleted.
Ссылки:
Visit our web page with information about the malware:
[URL]http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?idvirus=168512[/URL]
Follow the instructions on how to eliminate the malware:
[URL]http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?lst=sol&idvirus=168512[/URL]
!!! Письмо в Панду отправил 17.07.2007, первое обнаружение 18.07.2007, похоже, из моего подозрительного файла, и лекарства в Panda от него пока нет, рекомендуют TruPrevent Technologies.
Поломали сайт знакомого книготорговца :(
Причём автоматически.
И взломал сайт именно вирус. Я уже с таким сталкивался -
[url]http://www.virustotal.com/ru/resultado.html?27fabf812fec99bafd37c3e8cc68f284[/url]
- вариант Pinch, вирус сам выискивает на компьютере имена и пароли к FTP.
[url]http://www.cwsandbox.org/?page=details&id=17811&password=yastj[/url]
И отдаёт их своей системе изменения страниц - [url]http://prostreet.info/gate/gate.php[/url]. А там уже и производится изменение всех страничек сайта. Скорее всего, сломанна именно индексная первая страница, остальное они вроде не трогали до последнего времени..
MedvedD
вы хотя бы бред не пишите а то людей напугаете
пинчег сам по себе никакие сайты не ломает а просто пароли тырит
а это [url]http://prostreet.info/gate/gate.php[/url] то через чего он их хозяину отсылает
[500mhz], я бред не пишу.
"отдаёт их своей системе изменения страниц".
уважаемый!
вы видели код гейта от пинча?
вы знаете принцип работы пинча? (варианты отправки данных)
Зараженная страница
[color=blue]http://www.floranimal.ru/pages/animal/m/64.html[/color]
[QUOTE=Mamont;151194]Зараженная страница
[color=blue]hxxp://www.floranimal.ru/pages/animal/m/64.html[/color][/QUOTE]
Файл 64.html получен 2007.11.17 12:31:12 (CET)
Антивирус Версия Обновление Результат
DrWeb 4.44.0.09170 2007.11.17 Worm.Sifiliz
Sophos 4.23.0 2007.11.17 Mal/ObfJS-R
Дополнительная информация
File size: 24347 bytes
MD5: 1fdfc99a21b89a9270512762615c504b
SHA1: c9ab1776ad8bbf5e3402b8184d5baf030c24dada
Вопрос, наверно, к DVi :
Ikarus T3.1.1.12 2007.11.18 Trojan-Downloader.JS.Remora.ao
Kaspersky 7.0.0.125 2007.11.18 Trojan-Downloader.JS.Remora.ao
И это уже давно, воруют сигнатуры ? :)
Поскольку вчера этого небыло, были только дрвэб и софос
Да, Икарус ворует сигнатуры. Давно. И все свои детекты называет по классификации ЛК.
[quote=DVi;151632]Да, Икарус ворует сигнатуры. [/quote] Пока воск на крыльях не растает, сможет держаться в воздухе... ))) Paul
[quote=DVi]Да, Икарус ворует сигнатуры. Давно.[/quote]
А если их програмные модули добавить в базы Касперского как троян, Ikarus сам себя удалит? ;)
Вероятность есть :)
Т.к. похоже, что Икарус добавляет в свои базы вообще все, на что пискнул хоть один антивирус из вирустотала.
делаем акцию по самоликвидации икаруса ))
хотелось бы знать, каким образом происходит переадресация с поддомена mail.ru на заражённую фишинговую страничку?
Вот адрес :http:r.mail.ru/cln1234/www.porcunadebenito.com/download/flash//index.html
Просто форвард. Напишите после :http:r.mail.ru/cln1234/ любой адрес без http, хотя бы так: :http:r.mail.ru/cln1234/virusinfo.info/
Очередной пинчег, удивляюсь как много народу на такое ведутся =))
r.mail.ru/cln1234/indiasoftwareworld.com/download/flash/index.html - предыдущая версия.
[SIZE="1"]OMFG, они пишут на делпхи, этот мир скоро будет в аду =))[/SIZE]
[quote=Surfer;163944]Очередной пинчег, удивляюсь как много народу на такое ведутся =))
r.mail.ru/cln1234/indiasoftwareworld.com/download/flash/index.html - предыдущая версия.
[SIZE=1]OMFG, они пишут на делпхи, этот мир скоро будет в аду =))[/SIZE][/quote]
ну а чего? Свежий Outpost 2008 молчит как рыба под лед
Конечно ведутся..
В смысле при запуске пинчега ?
Я пробовал запускать, сначала каспер орёт что инвадер, потом что отсылка персональных данных, если всё это разрешать, то комод спрашивает разрешить ли выйти в инет svchost.exe =))